Вы можете использовать групповые политики (GPO) для установки принтеров на компьютеры пользователей домена Active Directory. В этой статье мы покажем, как автоматически установить принтер пользователю домена при его входе на компьютер.
Рассмотрим следующую конфигурацию: в организации имеется 3 отдела, каждый отдел должен печатать документы на собственном цветном сетевом принтере. Ваша задача настроить автоматическое подключение сетевых принтеров пользователям в зависимости от отдела.
Содержание:
- Подключение принтеров доменным пользователям через GPO
- Разрешить установку принтеров через GPO без прав администратора
Подключение принтеров доменным пользователям через GPO
Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:
New-ADGroup "prnHPColorSales" -path 'OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru' -GroupScope Global –PassThru
- Запустите консоль редактора доменных политик (GPMC.msc), создайте новую политику prnt_AutoConnect и прилинкуйте ее к Organizational Unit (OU), в котором находятся целевые пользователи;
Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете использовать одну GPO для установки всех принтеров. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров. Например, по одной GPO для каждого сайта или OU.
- Перейдите в режим редактирования политики и разверните секцию User Configuration -> Preferences -> Control Panel Setting -> Printers. Создайте новый элемент политики с именем Shared Printer;
Если вы хотите подключать принтер по IP адресу (не через принт-сервер, а напрямую), выберите пункт TCP/IP Printer.
- Действие – Update. В поле Shared Path укажите UNC адрес принтера, например,
\\msk-prnt\hpcolorsales
(в моем примере все принтеры подключены к принт-серверу
\\msk-prnt
). Здесь же вы можете указать, нужно ли использовать этот принтер в качестве принтера по-умолчанию
Вы можете опубликовать ваши принтеры в Active Directory. Для этого нужно включить опцию List in the Directory в настройках общего сетевого принтера на вкладке Sharing.
В этом случае вы можете не указывать имя принетра вручную, а найти его поиском в AD. Просто нажмите кнопку с тремя точками при выборе принтера, нажмите кнопку Find now и выберите имя сетевого принтера из списка.
- Перейдите на вкладку Common и укажите, что принтер нужно подключать в контексте пользователя (опция Run in logged-on user’s security context). Затем выберите опцию Item-level targeting и нажмите на кнопку Targeting;
- С помощью нацеливания GPP вам нужно указать, что данная политика подключения принтера применялась только для членов группы prn_HPColorSales. Для этого нажмите New Item -> Security Group -> в качестве имени группы укажите prn_HPColorSales;
Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам.
- Аналогичным образом создайте политики установки сетевых принтеров для других групп пользователей.
В этом случае вы можете не указывать имя принетра вручную, а найти его поиском в AD. Просто нажмите кнопку с тремя точками при выборе принтера, нажмите кнопку Find now и выберите имя сетевого принтера из списка.
Есть еще старый раздел политик для настройки принтеров — Computer Configuration -> Policies -> Windows Settings -> Deployed Printers, однако этот метод установки принтеров пользователям не такой гибкий, как рассмотренный нами способ с помощью GPP.
При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютерах уже установлен соответствующий принтеру драйвер печати (драйвера нужно предварительно установить вручную или интегрировать напрямую в образ Windows).
Если для данного принтера не установлен драйвер, то назначенный через GPO принтер не будет добавлен пользователю. При этом в журнале Event Log -> Application появится событие с Event ID 4096:
Source: Group Policy Printers
The user 'HPLaserJet4101' preference item in the 'prnt_AutoConnect {0D83EA70-0077-46A3-882A-C4FEED3DA489}' Group Policy Object did not apply because it failed with error code '0x800702e4 The requested operation requires elevation.' This error was suppressed.
Дело в том, что теперь пользователи Windows без прав администратора не могут установить принтера даже не смотря на настройки политики Point and Print Restriction.
Разрешить установку принтеров через GPO без прав администратора
В 2021 году в сервисе Print Spooler была обнаружена серьезная уязвимость (PrintNightmare CVE-2021-34527), для исправления которой Microsoft изменила поведение Windows при установке драйверов печати. Теперь пользователи без прав администратора не могут установить драйвера для принтера (KB5005033), в том числе с помощью параметра GPO Point and Print. Установку драйверов (подписанных и неподписанных) должны выполнять только пользователи с правами администратора.
Однако есть обходное решение, которое позволит обычным пользователям установить драйвера. Для этого нужно изменить вашу GPO установки принтеров.
- Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options и измените значение параметра Devices: Prevent users from installing printer drivers на Enabled;
- Теперь перейдите в Computer Configuration -> Policies -> Administrative Templates -> System -> Driver Installation в параметре Allow non-administrators to install drivers for these device setup classes добавьте классы для устройства типа принтеры
{4658ee7e-f050-11d1-b6bd-00c04fa372a7}
и
{4d36e979-e325-11ce-bfc1-08002be10318}
. Это разрешит установку только драйверов печати; - Перейдите в раздел Computer Configuration -> Policies -> Administrative Templates -> Printers и включите политику Point and Print Restrictions. Здесь нужно указать список ваших принт-серверов (Users can only point and print to these servers), с которых разрешено устанавливать драйверы печати. В двух оставшихся параметрах выберите Don’t show warning or elevation prompt;
- Добавьте список ваших доверенных прнит-серверов в параметр Package Point and print — Approved servers;
- (Теперь самый важный пункт!!). Чтобы разрешить установку драйвера печати без прав админа нужно временно изменить значение параметра реестра RestrictDriverInstallationToAdministrators на 0.
На отдельном компьютере вы можете изменить этот параметр с помощью команды:
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v RestrictDriverInstallationToAdministrators /t REG_DWORD /d 0 /f
Чтобы изменить этот параметр реестра на компьютере через GPO, нужно создать правило GPP в разделе Computer (Configuration -> Preferences -> Windows Settings -> Registry. Создайте параметр реестра с настройками:
Action: Replace Hive : HKEY_LOCAL_MACHINE Key path: Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint Value name : RestrictDriverInstallationToAdministrators Type: REG_DWORD Value: 0
В новых шаблонах административных ADMX файлов из Microsoft Security Baseline для этого параметра реестра добавлен отдельная опция GPO. Называется она Limits printer driver installation to Administrators (находится в разделе Computer Configuration -> Administrative Templates -> Printers). 
Перейдите на вкладку Common и включите опцию Remove this item when it is no longer applied.
Теперь обновите настройки GPO на клиентах (перелогиньтесь или выполните
gpupdate /force
) и проверьте, что драйвера с принт-серверов теперь устанавливаются автоматически. В журнале Application должны появится события MsiInstaller вида:
EventID 1040 Beginning a Windows Installer transaction: C:\Windows\system32\spool\DRIVERS\x64\3\CIOUM64.MSI. Client Process Id: 7240.
Такая GPO позволит любому пользователю без прав администратора установить сетевые принтера из указанных серверов печати без запроса на повышения прав и уведомлений.
Обратите внимание, что таким образом можно установить только подписанные драйвера принтеров (Package-aware v3 print drivers). Для таких драйверов в консоли Printer Management (printmanagement.msc) в разделе Drivers должно быть указано Packaged=True. Подробнее об этом здесь https://winitpro.ru/index.php/2016/08/31/update-kb3170455-network-shared-printer-error/
Если вы попытаетесь установить через GPO принтер с неподписанным драйвером, он не будет установлен не смотря на параметр RestrictDriverInstallationToAdministrators:
The user 'BrotherDCP2540' preference item in the 'prnt_AutoConnect {GUID}' Group Policy Object did not apply because it failed with error code '0x80070bcb The specified printer driver was not found on the system and needs to be downloaded.' This error was suppressed.
Элемент предпочтения пользователь "BrotherDCP2540" в объекте групповой политики "Подключение принтеров {GUID}" не применен по причине ошибки с кодом '0x80070bcb Указанный драйвер принтера не найден в системе. Необходимо скачать драйвер.' Эта ошибка была отключена.
Раньше для установки и подключения принтеров пользователям мне приходилось использовать VBS /PowerShell скрипты, которые запускались как Startup скрипты GPO и возможности фильтрации групповых политик. Однако использовать Group Policy Preferences для установки принтеров пользователям намного проще.
Когда в бухгалтерии заменили принтер. «Надо всем переподключить»
Время на прочтение
7 мин
Количество просмотров 36K
Если такая заявка в вашей системе сервис-деска вызывает дергающийся глаз и падение тонуса ― у вас наверняка еще не настроено удобное централизованное управление принтерами. Пора исправлять эту неувязочку.
Статья скорее для тех, у кого нет этого сферического корпорейта в вакууме, с виртуальными принтерами, прикладыванием пропуска для печати на HP M8xx, а то и даже Ricoh Pro 8ххх. Как обычно, запасаемся скриптами, GPO и еще раз скриптами.
Собираем принтеры в одну точку подключения
В качестве первой меры, облегчающей жизнь, рекомендую завести сервер печати, где можно развернуть все принтеры организации. В идеале это отдельная виртуальная машина, где все принтеры являются сетевыми и выведены в отдельный VLAN с доступом только с сервера печати. Если невозможно использовать сетевой принтер, то в крайнем случае можно превратить компьютер с USB\LPT принтером в принт-сервер. Например, при помощи утилиты rawprintserver.
Помимо удобства обслуживания конфигурация с единым сервером печати позволит запросто реализовать и «наколеночные» отчеты печати, разбирая журнал Microsoft-Windows-PrintService/Operational. Надеюсь, что с решением этой задачи поможет наш материал «Вертим логи как хотим ― анализ журналов в системах Windows», а в качестве примера предложу следующий скрипт PowerShell:
$events = Get-WinEvent -FilterHashtable @{LogName = "Microsoft-Windows-PrintService/Operational"; ID = 307} | foreach{
New-Object PSobject -Property @{
Time_Created = $_.TimeCreated
Document_Number = $_.Properties[0].value
Document_Name = $_.Properties[1].value
UserID = $_.Properties[2].value
Printer = $_.Properties[4].value
PagesCount = $_.Properties[7].value
}
}
$events | select userid, printer ,pagescount
Результат работы скрипта.
Вдобавок, можно как следует заняться оптимизацией быстродействия единого сервера печати, объединять принтеры в кластер. В общем, развлекаться как угодно ― хотя бы мониторить принтеры по SNMP и заранее уведомлять сотрудников о заканчивающихся картриджах.
Перейдем к подключению принтеров пользователям: вариантам затейливым и не очень.
Подключаем принтеры при входе
Использование логон-скриптов ― это старое и проверенное средство, работает всегда и везде. При входе пользователя в систему срабатывает скрипт, который подключает нужный принтер и устанавливает его по умолчанию ― все просто и стабильно. На cmd скрипт будет вида:
rundll32 printui.dll,PrintUIEntry /in /n\\servername\printername /yПодробнее про работу команды cmd для работы с принтерами можно почитать в документации Microsoft.
Любителям vbs придется уже использовать объекты, и подключение принтера будет выглядеть так:
On Error Resume Next
Set WshNetwork = CreateObject("WScript.Network")
WshNetwork.AddWindowsPrinterConnection "\\servername\printername"
WshNetwork.SetDefaultPrinter "\\servername\printername"Аналогичным образом задача решается на PowerShell:
$net = new-object -com wscript.network
$net.AddWindowsPrinterConnection("\\servername\printername")
$net.SetDefaultPrinter("\\servername\printername")Почитать про возможности ком-интерфейса Wscript.Network можно в материале TechNet WshNetwork Object, а про управление принтерами при помощи PowerShell ― в разделе документации PowerShell Working with Printers.
Если непосредственно с подключением принтера все просто ― лишь бы драйвер стоял на компьютере, ― то выборочное подключение принтеров потребует архитектурной смекалки. Приведу пару вариантов, которые встречались на просторах админской деятельности.
Для каждого принтера существует своя группа безопасности. Только ей разрешена печать на принтере в его свойствах. Для каждой группы безопасности создан свой логон-скрипт и своя групповая политика с фильтром безопасности.
Нужно больше групповых политик.
Вариант неплохой, но при добавлении нового принтера приходится создавать новую группу безопасности, новую групповую политику и новый скрипт для подключения. Конечно же, это можно автоматизировать не без помощи нашего материала «Погружение в шаблоны и приручение GPO Windows», но решение все равно выглядит далеко не самым изящным.
Другой вариант таков ― создается единый скрипт, который проверяет какой-либо атрибут пользователя или компьютера и в зависимости от него подключает нужный принтер. В качестве атрибута может выступать расположение, описание или вовсе членство в группе безопасности.
Соответствие атрибута и имени принтера или жестко задано в теле скрипта, или прописывается во внешнем источнике данных, таких как текстовый файл или даже таблица SQL. Этот вариант чуть проще в обслуживании ― в случае чего нужно править только один скрипт или внешний источник данных.
Под спойлером приведу вариант подобного скрипта на vbs.
Set WshShell = WScript.CreateObject("WScript.Shell")
Set objSysInfo = CreateObject("ADSystemInfo")
strComputer = "."
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & strComputer & "\root\default:StdRegProv")
strUserDN = objSysInfo.userName
Set UserObj = GetObject("LDAP://" & strUserDN)
'начинаем создавать массив групп безопасности текущего пользователя'
iGroup = 0
For Each GroupObj In UserObj.Groups
iGroup = iGroup + 1
Redim Preserve strArrayUserGroups(iGroup)
strArrayUserGroups(iGroup) = Replace(GroupObj.Name, "CN=", "")
Next
'начинаем проверку и подключение принтеров'
For i = 1 To iGroup
AddPrintersByGroup strArrayUserGroups(i)
Next
Function AddPrintersByGroup (strGroup)
Set WshNetwork = CreateObject("WScript.Network")
Select Case strGroup
Case "Add Printer HP2055BUH2"
WshNetwork.AddWindowsPrinterConnection "\\servername\HP2055BUH2"
WshNetwork.SetDefaultPrinter "\\servername\HP2055BUH2"
Case "Add Printer HP2055HR"
WshNetwork.AddWindowsPrinterConnection "\\servername\HP2055HR"
WshNetwork.SetDefaultPrinter "\\servername\HP2055HR"
...
End Select
End Function Лучше политик для подключения принтеров могут быть только другие политики
С появлением Group Policy Preferences или предпочтений групповых политик стало возможным обходиться без скриптов вовсе. Действительно, подключение к принтерам можно настроить в разделе «Конфигурация пользователя ― Настройка ― Панель управления ― Принтеры».
Подключение к новому или старому принтеру.
При этом не обязательно настраивать политики по количеству принтеров в домене инструментом «Нацеливание» на вкладке «Общие параметры». По сути этот инструмент напоминает wmi-фильтры в групповой политике, только у него заранее создан готовый набор опций помимо фильтров.
Возможные варианты нацеливания.
Неплохим вариантом будет настройка фильтра по группе безопасности. Тогда будет достаточно создать нужное число групп безопасности, настроить разрешения на принтеры на сервере печати и завести эти принтеры в групповую политику.
При автоматизации добавления-изменения можно использовать тот факт, что сами настройки предпочтения групповых политик располагаются в папке групповой политики в подпапке Preference. В случае принтеров это будет xml-файл Printers.xml в подпапке Printers.
Физическое расположение настроек принтеров.
Если открыть его, можно увидеть, что структура xml достаточно проста:
<?xml version="1.0" encoding="utf-8"?>
<Printers clsid="{1F577D12-3D1B-471e-A1B7-060317597B9C}">
<SharedPrinter clsid="{9A5E9697-9095-436d-A0EE-4D128FDFBCE5}" name="HP2055BUH2" status="HP2055BUH2" image="2" bypassErrors="1" changed="2018-03-21 13:47:25" uid="{9E6F08F9-1C6B-49EB-A985-25A722ADD9C1}">
<Properties action="U" comment="" path="\\servername\HP2055BUH2" location="" default="0" skipLocal="0" deleteAll="0" persistent="0" deleteMaps="0" port=""/>
<Filters>
<FilterGroup name="Domainname\Printer_Add_2055_Buh" localGroup="0" primaryGroup="0" userContext="1" sid="" not="0" bool="AND"/>
</Filters>
</SharedPrinter>
</Printers>И при желании можно аккуратно добавлять\изменять параметры вручную или скриптами. Конечно же, изобретать велосипед и лезть немытыми руками в xml весело и занимательно, но совершенно не обязательно ― в галерее скриптов TechNet уже есть готовый скрипт Add-Printer-IN-GPO, который добавит принтеры к групповой политике с нацеливанием на группы безопасности.
В завершение статьи расскажу про один занятный способ, который мне как-то раз пришлось реализовать.
В копилку странных способов подключения ― назначенные задания
От заказчика поступила задача ― создать инструмент для автоматического подключения принтеров пользователю. При этом время реакции должно быть минимально и никакие перелогины недопустимы, поэтому классические варианты вроде логон-скриптов и групповых политик сразу отмели.
Нюанс был и в том, что пользователи работали на терминальных серверах в ферме и без фермы. Голь на выдумки хитра, поэтому мне пришлось вспомнить возможные варианты запуска команд на удаленном компьютере под разными сессиями ― часть вариантов описана в нашей статье «1000++ способ запуска команд на удаленном компьютере». Лучшим оказался вариант с назначенными заданиями.
Поскольку я люблю батники и использую их, когда можно обойтись без применения PowerShell, то для решения задачи я использовал исключительно cmd.
Основной проблемой была необходимость запускать команды на подключение принтера непосредственно в сессии пользователя, а не зная его пароля, обычные методы не очень результативны. Как раз для этого я использовал возможность задать имя пользователя при создании назначенного задания вот такой командой:
schtasks /create /S computername /SC ONCE /ST 00:00 /RU domain\username /TN taskname /tr "rundll32 printui.dll,PrintUIEntry /in /nPrintername" Второй проблемой было найти компьютер, на котором пользователь работает в момент обращения. Я использовал утилиту qwinsta и список возможных компьютеров в текстовом файле. Разумеется, есть и другие способы ― например, брать имя компьютера из атрибута Active Directory или из текстового файла. Но эта процедура потребует дополнительных Logon-скриптов. В качестве примера реализации могу посоветовать материал How to: Show User’s Logged On Computer Name In Active Directory.
В результате на свет появился скрипт, принимающий в качестве параметра имя пользователя и подключаемого принтера. Рядом со скриптом надо положить текстовый файл со списком серверов, на которых может работать пользователь.
Полный листинг скрипта под спойлером.
@echo off
rem На каждом сервере из списка...
for /F %%i in (servers.txt) do (
rem Ищем нужного пользователя
qwinsta /SERVER %%i | find "%1" && call :subroutine %%i %1 %2
)
GOTO :EOF
:subroutine
rem Cоздаем назначенное задание
schtasks /create /S %1 /SC ONCE /ST 00:00 /RU domain\%2 /TN printer_%2 /tr "rundll32 printui.dll,PrintUIEntry /in /n%3"
rem Запускаем задание
schtasks /run /S %1 /TN printer_%2
rem Удаляем задание
schtasks /delete /S %1 /TN printer_%2 /F
GOTO :EOF Конечно же, есть компании, где пользователи сами в состоянии подключиться к нужному принтеру, выбрать его по умолчанию и не дергать для этого IT-службу. К сожалению, не все такие продвинутые.
Предлагаю в комментариях поделиться, как обстоят дела с сетевыми принтерами и их управлением в ваших организациях.
GPO — Установка принтера
GPO — Установка принтера
Хотите узнать, как настроить групповую политику для установки принтера? В этом учебнике мы покажем вам, как установить принтер с помощью GPO.
• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7
Список оборудования
В следующем разделе представлен список оборудования, используемого для создания этого учебника.
Как Amazon Associate, я зарабатываю от квалификационных покупок.
Windows Связанные Учебник:
На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.
Учебник GPO — Установка принтера
На сервере печати поделитесь принтером.
В нашем примере мы создали общий принтер под названием PRINTER01.
На контроллере домена откройте инструмент управления групповой политикой.
Создание новой групповой политики.
Введите имя для новой политики группы.
В нашем примере, новый GPO был назван: MY-GPO.
На экране управления групповой политикой расширьте папку под названием «Объекты групповой политики».
Нажмите правой кнопкой мыши на новый объект групповой политики и выберите опцию редактирования.
На экране редактора групповой политики расширьте папку конфигурации пользователя и найдите следующий элемент.
Создайте новый общий принтер.
На вкладке General выполните следующую конфигурацию.
• Действие — Обновление.
• Путь совместного входа — Введите сетевой путь к общей принтеру.
• Установить этот принтер по умолчанию — необязательно.
• Только в том случае, если локального принтера нет — необязательно.
Нажмите на кнопку OK.
Чтобы сохранить конфигурацию групповой политики, необходимо закрыть редактор групповой политики.
Поздравляю! Вы закончили создание GPO.
Учебник — Применение GPO для установки принтера
На экране управления политикой Группы необходимо правильно нажать на желаемую Организационную группу и выбрать возможность связать существующий GPO.
В нашем примере мы собираемся связать групповую политику под названием MY-GPO с корнем домена.
После применения GPO вам нужно подождать 10 или 20 минут.
В течение этого времени GPO будет реплицироваться на другие контроллеры доменов.
На удаленном компьютере проявите список установленных принтеров.
В нашем примере мы установили общий принтер для всех пользователей доменов с помощью GPO.
VirtualCoin CISSP, PMP, CCNP, MCSE, LPIC22021-02-11T23:34:17-03:00
Related Posts
Page load link
Ok
Что бы каждому пользователю не бегать не подключать принтеры руками, было принято решение раздавать их при помощи GPP. У нас в организации порядка 30 сетевых принтеров.
Первым делом устанавливаем print server (если он конечно у вас еще не установлен) и добавляем на него все сетевые принтеры. Далее для каждого принтера нужно добавить драйвера для x86 и x64 систем.
Тут могут начаться некоторые проблемы, дело в том что какие-то производители выпускают сразу один пакет драйверов для всех систем и 32 битных, и 64 битных, и тогда с установкой нет никаких проблем. Но бывает и так что в драйверах для x86 принтер называется, к примеру: HP LaserJet 2300 Series PCL 6, а для x64: HP LaserJet 2300 PCL 6, хотя драйвера качались из одного места. При этом Print server не поймет, что это драйвера для одного и того же принтера и соответственно не подключит его пользователю. Из этой ситуации есть выход, нужно ручками подправить имя принтера в драйверах. Для этого открываем в блокноте файлик драйвера с расширением .inf и везде меняем название принтера на нужное нам.
В итоге мы должны получить примерно такую картину:
Каждый принтер имеет два драйвера!
Когда Print server у нас готов и исправно функционирует, можно перейти к процессу непосредственно развертывания принтеров на рабочих станциях пользователей.
Тут есть два основных варианта: 1) Через Logon скрипт 2) Через групповые политики.
Я считаю, что все настройки применяемые к пользователям должны быть в одном месте и стандартизированны Microsoft, поэтому по возможности советую использовать групповые политики! Ну а уж если что-то и не получается сделать из GPO, то через неё же можно добавить скрипт на выполнение.
Итак приступим, тут опять же есть два пути: можно писать отдельную групповую политику для каждого принтера или написать одну политику для всех принтеров, но разрешить подключать (печатать) на принтере только определенной группе пользователей. Я пошел по второму пути. В AD создал группы для каждого принтера и соответственно в безопасности принтера добавил разрешение только этой группе.
Следующим шагом создаем политику, которая будет распространяться на пользователя, соответственно создаем её или в каталоге с пользователями. В качестве фильтра на выполнение этой политики добавляем наши ранее созданные группы для принтеров. На вкладке детали (Details) можно отключить выполнение для компьютеров.
В самой же политике добавим нужные нам принтеры. Путь можно посмотреть на скрине ниже:
В этой моей политике удаляются старые принтеры и добавляются новые. Не забывайте на вкладке Common поставить галочку, что бы принтеры цеплялись от имени пользователя, а то вы долго будете ждать их подключения=)
На этом и все, добавляйте пользователей в группы, делайте gpupdate /force и после перезагрузке пользовательских машин радуйтесь вновь добавленным принтерам=)
ZipFile, юные эникейщики. На связи Денис Курец. Спешу обрадовать очередным полезным уроком к обучающему курсу «Администрирование на платформе Windows Server 2016». Нынче мы затронем такую актуальную тему, как развёртывания принтеров через групповые политики. В рамках выпуска речь пойдёт о подключении не только сетевых, но и локальных принтеров на рабочие станции вашей локальной сети.
Частенько админы сталкиваются с ситуацией, когда несмышлёные юзеры переносят принтеры из одного кабинета в другой. Мы естественно плюёмся, молча топаем и настраиваем всё заново. Однако стоит признать, что добавлять и удалять каждое печатающее устройства по отдельности – весьма сомнительная и непродуктивная методика. Именно поэтому каждый уважающий себя сетевик, должен обладать навыками оперативной перенастройки сетевых принтеров.
Но прежде, чем, мы непосредственно приступим к подготовительным действиям, напомню, что т.к. данный материал является частью большого серьёзного курса, наличие серверных и клиентских виртуальных машин, а также базовые навыки работы с ними, подразумевается по умолчанию. Если же во время просмотра урока у вас возникнут какие-либо затруднения, не поленитесь, и ознакомьтесь с подробной базовой настройкой WindowsServer в рамках 2 и 3 главы обучающего курса. Ссылку на него ищите в описании.
Создание объектов ГП для структурных подразделений
Ну а мы переходим к первому этапу, на котором создадим групповые политики исходя из наименований наших структурных подразделений.
Шаг 1. В диспетчере серверов раскрываем вкладку «Средства» и ищем в списке «Управление групповой политикой».
Шаг 2. В открывшейся оснастке создаём новый объект групповой политики в ранее добавленном на сервере подразделении. У меня в качестве примера выступит существующее подразделение — «Администрация».
Шаг 3. Обязательно задаём понятное имя для нашей политики. «Политика для принтеров администрации». Сразу всё понятно.
Шаг 4. Аналогичным образом создадим новый объект ГПО для второго подразделения. В качестве примера, возьмёмс любимую всей админской братией бухгалтерию.
Создание сетевого принтера в виртуальной сети
Далее, нам необходимо добавить сетевой принтер. Учитывая, что все действия мы отрабатываем в рамках виртуального полигона, добавить реальный сетевой принтер TCP/IP — возможности нет. Однако можно с лёгкостью выкрутиться из этой ситуации, создав на сервере некий локальный принтер и условно принять его за сетевой.
Шаг 5. Заходим в «Пуск» — «Панель управления» — «Просмотр устройств и принтеров».
Шаг 6. В появившемся окне нажимаем «Добавление принтера» и ставим галочку напротив пункта «Добавить локальный или сетевой принтер с параметрами, заданными вручную». Далее в окне добавления кликаем «Необходимый принтер отсутствует в списке», дабы вручную задать соответствующие настройки.
Шаг 7. Порт оставляем по умолчанию. На этапе установки драйверов жмякаем «Установить с диска».
Шаг 8. И указываем в проводнике папку с заранее скачанными драйверами. Мы в последние годы на работе закупали принтеры исключительно марки Kyocera. Они хоть дороговастенькие, относительно продукции других брендов, зато практически не убиваемые и легко перезаправляются.
Шаг 9. Для примера возьмём модель МФУшника FS-1135. Распространённая рабочая лошадка. Из соображения удобства добавляем к основному названию принтера наименование структурного подразделения. В нашем случае это Администрация.
Шаг 10. Разрешаем общий доступ и убираем галочку предлагающую использовать данный принтер в качестве устройства для печати по умолчанию.
Шаг 11. Отлично. Идём дальше. Т.к. система у нас 64-разрядная, следовательно, и драйвера я устанавливал соответствующие. Однако, если в нашей сети присутствуют рабочие станции, функционирующие под управлением 32-битной ОС, могут возникнуть проблемы с подключением такого принтера. Чтобы избежать подобных проблем, необходимо заранее озаботиться установкой дополнительных драйверов. Кликаем правой кнопкой по общему принтеру, заходим в свойства и на вкладочке «Доступ» выбираем пункт «Дополнительные драйверы…».
Шаг 12. В открывшемся окне ставим галочку напротив типа процессора x86 и указываем путь к драйверам.
Окей. Теперь если данный принтер будет устанавливаться на компьютер с 32-разрядным процессором, драйвера будут происталированны автоматически.
Добавление локального принтера
С сетевым, а точнее гипотетически сетевым принтером мы разобрались. Теперь давайте подключим ещё один локальный принтер к компьютеру под управлением Windows 7, который относится к подразделению «Бухгалтерия».
Шаг 13. Переходим к машине, жмём «Пуск» — «Панель управления». Далее ищем уже знакомую оснастку «Просмотр удалённых устройств и принтеров».
Шаг 14. На верхней панели кликаем «Установка принтера», в появившемся окне «Добавить локальный».
Шаг 15. Порт по умолчанию. Как и в прошлый раз «Установить с диска».
Шаг 16. Ищем дровишки. Давайте для разнообразия выберем другую модель МФУшника. FS-1030. Вполне себе.
Шаг 17. Далее. Добавляем к названию приписочку «Бухгалтерия».
Шаг 18. И разрешив общий доступ к принтеру, завершаем процесс подключения.
Шаг 19. Окей. Осталось разобраться с дополнительными драйверами. Собственно, проделываем всё те же действия, что и ранее на сервере и переходим к следующему этапу.
Служба печати и документов
Возвращаемся на сервак для того, чтобы добавить новую службу. Службу печати и документов. Именно после её установки в групповой политике появится возможность развёртывания общих принтеров.
Шаг 20. Щёлкаем в диспетчере устройств «Добавить роли и компоненты».
Шаг 21. Далее.
Шаг 22. Далее.
Шаг 23. В третьем окне отмечаем галочкой службу печати и документов. Затем соглашаемся с установкой дополнительных компонентов необходимых для нормального функционирования данной службы.
Шаг 24. Далее ничего не меняем.
Шаг 25. Можете ознакомиться со сведениями о нюансах, относящихся к работе со службой печати.
Шаг 26. Оставляем галочку на «Сервере печати». Остальные службы ролей не трогаем. Нам они не понадобятся.
Шаг 27. Отмечаем «Автоматический перезапуск сервера, если потребуется» и приступаем к установке.
Шаг 28. Закрываем окно установщика и в принципе, уже можно переходить к настройке групповых политик.
Настройка ГП для развёртывания общих принтеров
Шаг 29. Но сначала, давайте откроем оснастку «Пользователи и компьютеры ActiveDirectory» и переместим рабочие станции по соответствующим подразделениям. Помимо показанной ранее виртуальной машины TIMOHAпод управлением Windows 7, её я создавал для одного из прошлых роликов про Kickidler, в рамках курса мы с вами накатывали виртуалку с Windows 10, она же CLIENT. Закидываем TIMOHу в бухгалтерию, а CLIENTа в администрацию.
Шаг 30. Возвращаемся к уже знакомой оснастке «Управление групповой политикой». Начнём с изменения политики распространяющейся на принтеры администрации.
Шаг 31. Раскрываем «Конфигурацию компьютера» — «Политики» — «Конфигурация Windows» — «Развёрнутые принтеры». Именно ради этого пункта мы и устанавливали ранее службу печати и документов. Вызвав правой кнопкой контекстное меню выбираем «Развернуть принтер».
Шаг 32. В качестве сетевого принтера для администрации у нас используется KyoceraFS-1135. Прописываем адрес сервера и выбираем его.
Шаг 33. Добавляем в список развёрнутых. Окей.
Шаг 34. Аналогичным образом редактируем политику, отвечающую за добавление принтера KyoceraFS-1030 на компьютеры, относящиеся к подразделению «Бухгалтерия». Напомню, что данный локальный принтер у нас подключён к рабочей станции TIMOHA.
Проверка отработки групповой политики
Отлично. Осталось запустить рабочую станцию с Windows 10 и убедиться в корректной отработке групповых политик.
Шаг 35. Находим в панели управление «Устройства и принтеры» и проверяем наличие принтера FS-1135. Принтер добавлен. И что самое главное, никакого дополнительного участия с нашей стороны не потребовалось.
Моделирование ситуации перемещения ПК
Тэкс. Теперь давайте смоделируем типичную рабочую ситуацию. Компьютер из административного отдела перенесли в бухгалтерию.
Шаг 36. Возвращаемся на сервер и в оснастке «AD – пользователи и компьютеры» перемещаем ПК CLIENT в соответствующее подразделение.
Шаг 37. Теперь в бухгалтерии 2 компьютера. А значит и головной боли в 2 раза больше. Если бы мы не использовали преимущества групповых политик, сейчас бы пришлось тащиться к рабочей станции, удалять старый принтер и подключать ручками новый.
Шаг 38. Но мы ведь топим за повсеместную автоматизацию рутинных процессов. Перезагружаем десятку. И убеждаемся, что в списке принтеров у нас теперь отображается другой принтер, а именно FS-1030 из подразделения «Бухгалтерия». Старый при этом был удалён.
Удаление принтера
Ну и напоследок расскажу о ещё одном интересном нюансе. Если вы намереваетесь отключить принтер для какого-либо структурного подразделения, не стоит рубить с плеча и сразу удалять всю групповую политику. Ведь с большой вероятностью, от этих поспешных действий, принтер не удалится из системы пользователя. Это связано с тем, что после смерти политики, её параметры, применённые к компьютеру ранее, могут сохраниться.
Шаг 39. Для корректного удаления печатающего устройства, необходимо изменить имеющуюся групповую политику убрав принтер из списка развёрнутых. Заходим в «Конфигурацию компьютера» — «Политики» — «Конфигурация Windows» и наконец «Развёрнутые принтеры». Удаляем FS-1030 и жмём «ОК».
Шаг 40. Как обычно, делаем ребут клиентской машины, и проверяем систему на наличие подключённых принтеров. Все сетевые принтеры отсутствуют, а значит политика, направленная на их удаление, успешно отработала.
Такие дела. Друзья, нынче мы рассмотрели не сложную, но весьма актуальную темку. Знание того, как удалённо автоматически подключить пользователю тот или иной сетевой принтер поможет в реальной жизненной ситуации сэкономить уйму времени. Это очень полезный навык. Особенно оцените, если будете админить в крупной конторе. Он ещё не раз спасёт вас от контактов с нежелательными субъектами.
Ладненько. На этом сегодня всё. До нового года новых сюжетов не ждите. На работе завал. И хочется ещё успеть подкаст записать. В общем не до уроков по делу админскому. Как разгребусь сделаю пару выпусков, посвящённых фильтрам безопасности, моделированию политик и результирующим наборам. Так что ждите. Те, кто ещё не зарегался в нашем закрытом клубе, welcome. Ссылочка будет в описании. Переходите по ней, получаете доступ к крутейшему курсу по «Администрированию Windows Server 2016» и можете задавать мне вопросы по данной тематике в любое удобное время суток.
Индивидуальная работа со студентами закрытой академии была и остаётся в приоритете. Именно там я отвечаю на комментарии из разряда, «а что делать если не ставится?». Да, кстати, в преддверии наступающего нового года подумываю сделать скидочку на данный материал. Так что, если вы реально заинтересованы в получении новых знаний – чекайте страничку с описанием. Счётчик уже пошёл. Задонатьте коржу на новую шапочку. А то он последнее время частенько грустит. Ех. Надеюсь, это временное явление. До новых встреч, ребят.
